《A Graduate Course in Applied Cryptography》Chapter 21 Authenticated Key Exchange (3)

原文教材 与 参考资料：

        Boneh Dan , Shoup Victor . A Graduate Course in Applied Cryptography[J].

        该书项目地址（可以免费获取）：http://toc.cryptobook.us/

        博客为对该书的学习笔记，并非原创知识，帮助理解，整理思路。

21.5 Identity protection

在之前的讨论的密钥交换协议都是直接获取对方身份的，身份保护是一个非常有用且实际的需求，当一个密钥交互协议具备身份保护属性时，敌手将不能在协议执行的执行过程中学习到执行协议的参与方身份或者是两者的身份，这里的敌手是一个消息的窃听敌手或者是一个积极的敌手。

当敌手是一个消极的窃听敌手时，我们要求两个参与者在执行协议过程中，敌手不能学习到其中的一个参与者身份或者是两个敌手的身份，称之为eavesdropping identity protection。当敌手是其中的一个参与方时，这个身份保护的目标就更加的精细，在可认证的密钥交互协议中，最终是要参与者互相认证的，但是敌手如果是一个参与方，我们要求另一个参与者在其确定对方的身份前不能暴露自己，称之为full identity protection.

所以有AKE4协议描述如下：

 在AKE4协议中，在P确认Q的身份前是不会暴露自己的身份的，所以称P实现了完全身份保护，对于窃听敌手而言，窃听敌手不能直接的学习到两个参与者的身份。

21.6 One-sided authenticated key exchange

单侧认证密钥交换适用于这样一种场景，在两方的密钥交换中一方没有向CA注册过，其中的一方向CA注册过，具备可公开的CA证书。例如，当用户去银行ATM取钱时，银行的交互机器可以认为是被CA认证过的，但是用户是没有证书的，此时需要单侧的认证密钥交换协议，产生可信的通信密钥，用户组则可以放心的将银行卡信息发送给银行服务器从而办理业务。具体的协议例子如下所示：

如上图AKE4*协议描述所示，P是用户，Q是具有CA证书的服务器，P和Q可以协商出一个安全的“data pipe”最终完成交互。

21.7 Deniability

可否认性，即两个参与者中的一个可以否认自己是这个协议的参与者，即使另一个参与者能够举出任何的证据，都是不具有说服力的。下述有一个可否认的协议AKE5但是并不具备身份保护属性。

首先，由于两个参与者在这个协议中都没有签名任何信息，所以这个协议必然会给与P和Q一定程度的可否认性，为了实现一个P具有可否认性，我们构造一个模拟者，这个模拟者可以在不调用P的情况下，模拟P 和 Q进行交互，那么此时不论Q可以持有或者计算多少的信息与内容，都不足以证明P与其交互。这里模拟器的H没建立为一个随机谕言机模型，并且能够访问Q的随机谕言机，那么该模拟者将能有效的完成模拟过程。【此处未详细P833】

AKE5协议实现了一个可否认属性但是并没有实现一个身份保护属性，在下文的AKE6协议中实现了身份保护功能。

       可否认性的限制条件：可否认是一个非常狡猾的属性，在现实中P和Q通信的目的就是使得P和Q可以互相确认身份，有事Q需要P提供一些不能公开的隐私信息，例如银行业务中的口令或者关键信息，也许Q需要后续向其他第三方证明自己的确是在和P交互。只是仅仅在AKE5和AKE6中Q不能确定与其交互的是P。